Az ICS-CERT március 22-én publikálta a Siemens által március 18-án nyilvánosságra hozott, APOGEE Insight épületüzemeltetési rendszerben felfedezett sérülékenységet. A hibát a Network & Information Security Ltd. Company and HuNan Quality Inspection Institute fedezte fel és jelentette a Siemens-nek. A sérülékenység az APOGEE Insight minden verzióját érinti. Az APOGEE Insight-ot futtató operációs rendszerbe sikeresen bejelentkezett felhasználó a rendszer könyvtárain hibásan implementált engedélyeket kihasználva képes lehet a rendszerben tárolt adatok jogosulatlan módosítására.

A sérülékenységet az ICS-CERT nem értékeli súlyosnak, részben mert távolról vagy sikeres operációs rendszer szintű authentikáció nélkül nem lehet kihasználni.

A gyártó jelenleg is dolgozik a hibát javító verzión, ám az egyelőre nem érhető el az ügyfeleknek. A Siemens a sérülékenység hatásainak csökkentésére részletes útmutatót ad azoknak az ügyfeleinek, akik ezt kérik tőlük.

Az ICS-CERT ezúttal is szolgál néhány tanáccsal az ICS rendszereket használó szervezeteknek, amelyekkel azok csökkenteni tudják az ilyen sérülékenységek kihasználásának kockázatait:

- Limitálni kell a felhasználók hozzáférését a számukra valóban szükséges számítógépekre;
- Szegmentált hálózatokat kell használni az ipari rendszerek esetében is;
- Szigorúan kontrollálni kell, hogy a felhasználók milyen programokat futtathatnak;
- A felügyelet nélküli számítógépeket zárolni kell.

További részleteket az ICS-CERT oldalán lehet olvasni a sérülékenységről.